ip ssh access-addresses

Данная команда ограничивает доступ до SSH-сервера. SSH-сервер становится доступным только с определённых адресов.

Использование отрицательной формы команды (no) разрешает доступ с любых адресов.

Синтаксис

ip ssh access-addresses [ vrf <NAME> ] <OBJ-GR-NAME>
no ip ssh access-addresses [ vrf <NAME> ]

Параметры

<OBJ-GR-NAME>  – имя профиля IP-адресов, с которых разрешён доступ.

<VRF> – имя экземпляра VRF, в рамках которого будет работать ограничение доступа на SSH-сервер.

Необходимый уровень привилегий

15

Значение по умолчанию

Доступ разрешён с любых адресов.

Командный режим

CONFIG

Пример

esr(config)# ip ssh access-addresses MGT

ip ssh authentication algorithm disable

Данная команда запрещает использование определенного алгоритма аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма аутентификации для SSH-сервера.

Синтаксис

[no] ip ssh authentication algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> – алгоритм хеширования, принимает значения [md5, md5-96, sha1, sha1-96, sha2-256, sha2-512, ripemd160].

Необходимый уровень привилегий

15

Значение по умолчанию

Разрешены все алгоритмы аутентификации.

Командный режим

CONFIG

Пример

esr(config)# no ip ssh authentication algorithm md5 disable

ip ssh authentication retries

Данная команда устанавливает количество попыток аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) устанавливает количество попыток аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh authentication retries <NUM>

no ip ssh authentication retries

Параметры

<NUM> – количество попыток аутентификации для SSH-сервера [1..10].

Необходимый уровень привилегий

10

Значение по умолчанию

6

Командный режим

CONFIG

Пример

esr(config)# ip ssh authentication retries 5

ip ssh authentication timeout

Данная команда устанавливает, для ssh-сервера на маршрутизаторе, время ожидания ввода пароля при аутентификации SSH-клиента.

Использование отрицательной формы команды (no) устанавливает период времени ожидания аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh authentication timeout <SEC>

no ip ssh authentication timeout

Параметры

<SEC> – период времени в секундах, принимает значения [30..360].

Необходимый уровень привилегий

10

Значение по умолчанию

120

Командный режим

CONFIG

Пример

esr(config)# ip ssh authentication timeout 60

ip ssh client password

Данной командой определяется пароль по умолчанию для клиента протокола SSH.

Использование отрицательной формы команды (no) удаляет пароль.

Синтаксис

ip ssh client password { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

no ip ssh client password

Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 16] символов, принимает значения [0-9a-fA-F];

<ENCRYPTED-TEXT > – зашифрованный пароль, задаётся строкой [2..32] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip ssh client password test132

ip ssh client source-ip

Данной командой определяется IP-адрес маршрутизатора, от которого будут устанавливаться SSH-сессии на другие устройства.

Использование отрицательной формы команды (no) удаляет имя пользователя.

Синтаксис

ip ssh client source-ip [ vrf <VRF> ] <ADDR>

no ip ssh client source-ip [ vrf <VRF> ]

Параметры

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Указываемый IP-адрес должен быть назначен на каком-либо интерфейсе/туннеле маршрутизатора;

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# ip ssh client source-ip 192.168.22.78

ip ssh client username

Данной командой определяется имя пользователя по умолчанию для клиента протокола SSH.

Использование отрицательной формы команды (no) удаляет имя пользователя.

Синтаксис

ip ssh client username <NAME>

no ip ssh client username

Параметры

<NAME> – имя пользователя, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip ssh client username tester

ip ssh dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов SSH-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

ip ssh dscp <DSCP>

no ip ssh dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

48

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# ip ssh dscp 40

ip ssh encryption algorithm disable

Данная команда запрещает использование определенного алгоритма шифрования для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма шифрования для SSH-сервера.

Синтаксис

[no] ip ssh encryption algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> – идентификатор алгоритма шифрования, принимает значения [aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, arcfour, arcfour128, arcfour256, blowfish, cast128, 3des].

Необходимый уровень привилегий

15

Значение по умолчанию

Все алгоритмы разрешены.

Командный режим

CONFIG

Пример

esr(config)# ip ssh encryption algorithm aes128 disable

ip ssh host-key algorithm

Данная команда запрещает использование определенного алгоритма верификации Host-Key для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма алгоритма верификации Host-Key для SSH-сервера.

Синтаксис

[no] ip ssh host-key algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> – идентификатор алгоритма шифрования, принимает значения [dsa, ecdsa256, ecdsa384, ecdsa521, ed25519, rsa].

Необходимый уровень привилегий

15

Значение по умолчанию

Все алгоритмы разрешены.

Командный режим

CONFIG

Пример

esr(config)# ip ssh host-key algorithm dsa disable

ip ssh key-exchange algorithm disable

Данная команда запрещает использование определенного алгоритма обмена ключами для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма обмена ключами для SSH-сервера.

Синтаксис

[no] ip ssh key-exchange algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> – идентификатор протокола обмена ключами, принимает значения [dh-group1-sha1, dh-group14-sha1, dh-group-exchange-sha1, dh-group-exchange-sha256, ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521].

Необходимый уровень привилегий

15

Значение по умолчанию

Все алгоритмы разрешены.

Командный режим

CONFIG

Пример

esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable

ip ssh key-exchange time

Данная команда устанавливает период времени смены ключей аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) устанавливает период времени смены ключей аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh key-exchange time <SEC>

no ip ssh key-exchange time

Параметры

<SEC> – период времени в часах, принимает значения [1..72].

Необходимый уровень привилегий

15

Значение по умолчанию

1

Командный режим

CONFIG

Пример

esr(config)# ip ssh key-exchange time 24

ip ssh key-exchange volume

Данная команда устанавливает объем данных, после прохождения которого произойдет обновление ключей аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) устанавливает объем данных, после прохождения которого произойдет обновление ключей аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh key-exchange volume <DATA>

no ip ssh key-exchange volume

Параметры

<DATA> – объем данных в мегабайтах, принимает значения [1..4096].

Необходимый уровень привилегий

15

Значение по умолчанию

1000

Командный режим

CONFIG

Пример

esr(config)# ip ssh key-exchange volume 512

ip ssh port

Данной командой определяется порт SSH-сервера на маршрутизаторе.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ip ssh port <PORT>

no ip ssh port

Параметры

<PORT> – номер порта, указывается в диапазоне [1..65535].

Значение по умолчанию

22

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip ssh port 3001

ip ssh server

Данной командой включается SSH-сервер на маршрутизаторе.

Использование отрицательной формы команды (no) отключает SSH-сервер.

Синтаксис

[no] ip ssh server [ vrf <VRF>]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать SSH-сервер.

Значение по умолчанию

SSH-сервер выключен.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# no ip ssh server

ip telnet access-addresses

Данная команда ограничивает доступ до Telnet-сервера. Telnet-сервер становится доступным только с определённых адресов.

Использование отрицательной формы команды (no) разрешает доступ с любых адресов.

Синтаксис

ip telnet access-addresses [ vrf <NAME> ] <OBJ-GR-NAME>
no ip telnet access-addresses [ vrf <NAME> ]

Параметры

<OBJ-GR-NAME>  – имя профиля IP-адресов, с которых разрешён доступ.

<VRF> – имя экземпляра VRF, в рамках которого будет работать ограничение доступа на Telnet-сервер.

Необходимый уровень привилегий

15

Значение по умолчанию

Доступ разрешён с любых адресов.

Командный режим

CONFIG

Пример

esr(config)# ip telnet access-addresses MGT

ip telnet dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов Telnet-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

ip telnet dscp <DSCP>

no ip telnet dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

48

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip telnet dscp 40

ip telnet port

Данной командой определяется порт Telnet-сервера на маршрутизаторе.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ip telnet port <PORT>

no ip telnet port

Параметры

<PORT> – номер порта, принимает значения [1..65535].

Значение по умолчанию

23

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip telnet port 2001

ip telnet server

Данной командой включается Telnet-сервер на маршрутизаторе.

Использование отрицательной формы команды (no) отключает Telnet-сервер.

Синтаксис

[no] ip telnet server [vrf <VRF>]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать Telnet-сервер.

Значение по умолчанию

Telnet-сервер выключен.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# no ip telnet server

show crypto key mypubkey

Команда используется для просмотра открытых ключей устройства, используемых при установлении соединения по протоколу SSH.

Синтаксис

show crypto key mypubkey <OPTIONS>

Параметры

<OPTIONS> – алгоритм генерации нового криптографического ключа:

• dsa – алгоритм DSA;
• ecdsa – алгоритм ECDSA. Дополнительно необходимо указать размер ключа, 256, 384 или 521;
• ed25519 – алгоритм ED25519;
• rsa – алгоритм RSA;
• rsa1 – алгоритм RSA1.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# show crypto key mypubkey rsa
Key data
------------------------------------------------------------
ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDz750sWCQrnNufg1yhuksTFYCYdEfg
JZ9tWUvcssAZhCJWMewprXBuZMABzFmfBg157pgapxn2qJXJ8ESMV7X7gPfy
xQQah6l376z3SFcpKvwudNgwHiS5HCYPRQWx2Xdaz/nJtYr5NpYgLPba68NC
iXcqEp7EPR5GojDVxpuDuk0hPFcihzmt5Yx8ZptJRzRtsuDQYlowv0Qa24kd
OlQ90/1qKfbAhB6XI60l+dK5VEj7giBESarcRn69/e/YVbdGBdTE93QWFPKI
bm63imfbxRwWtcwsFdIHi8Blv9ZqDqqF/IO3TkIKa31hV9GnsawlAXi/IdyY
bYPboHRdcTlH/ root@esr-1000	

ssh authentication method

Данной командой выбирается метод аутентификации SSH-сессий для выбранной учетной записи.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ssh authentication method <METHOD>
no ssh authentication method

Параметры

<METHOD> – метод аутентификации SSH-сессий. Может принимать значения:

• password – аутентификация пользователя при открытии SSH-сессий может быть произведена только по паролю;
• pubkey – аутентификация пользователя при открытии SSH-сессий может быть произведена только по публичному ключу;
• both – аутентификация пользователя при открытии SSH-сессий может быть произведена как по паролю, так и по публичному ключу.

Значение по умолчанию

Аутентификация пользователя при открытии SSH-сессии может быть произведена только по паролю.

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

Пример

esr(config-user)# ssh authentication method pubkey

ssh pubkey

Данной командой указывается публичный ключ, который будет использован при аутентификации SSH-сессии для выбранной учетной записи.

Использование отрицательной формы команды (no) удаляет привязку публичного ключа к учетной записи из конфигурации.

Синтаксис

ssh pubkey <NAME>
no ssh pubkey

Параметры

<NAME> – имя файла публичного ключа, расположенного в разделе crypto:public-key, задаётся строкой до 31 символа.

Значение по умолчанию

Отсутствует

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

Пример

esr(config-user)# ssh pubkey admin_id_rsa.pub

update ssh-host-key

Данной командой генерируется пара новых криптографических ключей для установления соединения по протоколу SSH.

Синтаксис

update ssh-host-key { dsa | escda <ESCDA> | ed25519 <ED25519> | rsa <RSA> }

Параметры

dsa – алгоритм DSA;

ecdsa – алгоритм ECDSA:

• <ECDSA> – размер ключа, принимает значение 256, 384 или 521;
• Без указания используется размер ключа 521.

ed25519 – алгоритм ED25519:

• <ED25519> – размер ключа, принимает значение [256..2048];
• Без указания используется размер ключа 2048.

rsa – алгоритм RSA с указанием длины ключа:

• <RSA> – размер ключа, принимает значение [1024..2048];
• Без указания используется размер ключа 2048.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# update ssh-host-key ecdsa